AiHummer
Română
Autentificare
v1.0.x
{ }Swagger

Plugin Pocket Agent

v1.0.x · actualizat 2026-06-26

Pocket Agent este un instrument de acces la distanță cu tichete TTL de scurtă durată. Permite unui operator să ajungă la o mașină țintă pentru a efectua o sarcină delimitată, cu un model de securitate proiectat astfel încât ținta să nu fie nevoită niciodată să deschidă un port sau să aibă încredere într-o conexiune de intrare.

[!WARNING] Pocket Agent nu este o aplicație mobilă companion. Numele se referă la un mic agent de acces la distanță, la cerere, nu la un client de telefon. Pentru aplicația client vezi plugin-ul Aplicație mobilă și desktop.

Rulează nativ pe gazdă și comunică cu gateway-ul prin contract.

Fapte

Câmp Valoare
Versiune 0.1.0
Port 8814
Runtime nativ pe gazdă

Ce este

O modalitate de a rula o acțiune delimitată pe o țintă la distanță fără infrastructură permanentă pe acea țintă. În loc de un daemon care ascultă comenzile de intrare, modelul este bazat pe tichete și exclusiv spre exterior:

  1. Un operator emite un tichet — o autorizare de scurtă durată (delimitată de TTL) pentru o sarcină specifică.
  2. Ținta rulează un bootstrap semnat care verifică tichetul.
  3. Ținta intră apoi într-o buclă de interogare spre exterior, contactând pentru a prelua sarcini și a raporta rezultatele.

Când TTL-ul tichetului expiră, accesul dispare. Nu rămâne nimic persistent care să asculte.

Modelul de securitate

[!NOTE] Întregul scop al Pocket Agent este postura de securitate, nu comoditatea. Înțelege-l înainte de implementare:

  • Tichete de scurtă durată (TTL). Accesul este delimitat în timp; un tichet expirat nu acordă nimic.
  • Bootstrap semnat. Ținta continuă doar după verificarea unui bootstrap semnat legat de tichet.
  • Doar buclă de interogare spre exterior. Ținta inițiază toate conexiunile. Nu există niciun socket de intrare de atacat și niciun canal push.
  • Allowlist. Țintele și acțiunile sunt constrânse de un allowlist.
  • Audit. Activitatea este înregistrată pentru revizuire.

Deoarece nu există niciun ascultător de intrare și niciun push, suprafața de atac asupra țintei este minimă: un atacator nu se poate conecta la țintă prin Pocket Agent, iar accesul expiră automat când tichetul se termină.

Cum se folosește

Un operator emite un tichet pentru o sarcină specifică; ținta îl preia prin bootstrap-ul semnat și bucla de interogare spre exterior, efectuează lucrarea din allowlist și raportează înapoi. Fiecare pas este delimitat de TTL-ul tichetului și înregistrat în jurnalul de audit.

operator issues TTL ticket ─▶ target verifies signed bootstrap ─▶ target polls outbound ─▶ allowlisted work ─▶ audit

Instalare

Instalează Pocket Agent dintr-un singur click din marketplace în admin UI. Deployer-ul nativ pe gazdă descarcă plugin-ul, rulează pasul său de instalare, generează o unitate systemd izolată și așteaptă starea de sănătate înainte de a-l marca gata — vezi Instalare și actualizări. Nu sunt implicate containere.

Securitate și limitări

  • Doar acces cu tichete TTL — delimitat în timp, nu o sesiune la distanță permanentă.
  • Doar spre exterior — fără socket de intrare, fără canal push pe țintă.
  • Allowlist + bootstrap semnat + audit impun cine ce poate face și înregistrează acest lucru.
  • Nu este o aplicație companion — acesta este acces la distanță condus de operator, nu un client de telefon.
  • Nativ pe gazdă — rulează sub systemd, nu într-un container.

Unde mai departe